【防火墙技术在企业网络中的应用研究10000字（论文）】

引言随着网络时代的不断飞跃式发展，人们在充分依赖网络的同时，网络安全意识也在不断随之增加。现如今，几乎每家每户都安装有电脑，同时学会使用防火墙技术来保证自己网络使用的安全。但是随之的，网络黑客技术也仍在不断发展，病毒木马等网络病毒对电脑以及人们隐私的侵害，依旧是当前普遍存在的问题。随着网络时代的演变，网络攻击模式正在演变，网络病毒也在加剧。面对当前网络潜藏的危害，这就要求防火墙技术也要处于不断发展，不断更新的地步，唯有防御措施不断得到升级加强与更新，我们的网络环境才能得到切实保证。基于这种前提，本文讲究当前防火墙技术的发展现状为研究方向，前要谈论防火墙技术当前的应用方向，应用手段，以及企业当前防火墙技术所存在的问题，以期通过相关研究，切实改进现有的防火墙应用技术，制定更为严格且严谨的网络安全方案。以求达到切实加强企业网络安全的保护。

1防火墙概述1.1防火墙工作原理随着网络的不断发展，现如今防火墙技术已普遍应用于我们生活，技术应用也更加严格，是当前保护网络安全的重要手段，其安全保护能力强，操作简单。从技术角度来看，防火墙通常位于计算机网络的边界。根据保护要求，可以对网络数据包和连接方法进行验证和评估。根据验证和评估的结果，防火墙决定是允许访问还是以不同方式做出响应。随着技术的日趋成熟，防火墙的安全保护能力得到了极大的提高，特别是代理技术，网络地址转换技术和使用状态检查，极大地提高了防火墙技术的技术能力，使其能够快速有效地响应各种类型的网络攻击。而防火墙所能够起到的作用，就是根据定义好的规则，对通过的数据包进行监视与管理，降低安全风险。防火墙顾名思义，主要的应用手段与技术还是以隔离控制病毒为主，能够有效对非法输出和非法访问行为进行管理，减低入侵风险。当前我们常用的防火墙技术主要构成是由服务访问规则、验证工具、包过滤和应用网关这4部分组成。具体结构示意图如2-1所示：图1-1防火墙结构图1.2防火墙的功能1.2.1防火墙类型防火墙可以将用户内部网络与公共网络有效隔开，从而避免病毒侵袭。当在两个网络之间实现通信时，防火墙执行的工作就是访问控制标准。简而言之，当用户使用Internet时，用户认可的人员和数据可以访问其网络。数据将被防火墙阻止，并且网络上有黑客。当黑客想要强制访问用户网络时，防火墙将最大限度地发挥其防御功能，以防止黑客进入。而企业网络中所需要用到的防火墙类型包括过滤型，代理型，监测型以及网络地址转化-NTA。1.2.2包过滤防火墙过滤防火墙就是对网络层和传输层交换的数据所开展分析与过滤，以求确保其是否安全有效，在经过识别之后才可以被通过。根据当前防火墙标准，只有在满足性能和安全类型并且某些不安全因素被防火墙过滤和阻止后，才能传输信息。数据包过滤器是指以系统内部逻辑为依据，来过滤网络层中的所有数据包，同时也会对网络端口和数据源进行分析，同时也可以对数据地址进行分析，发现存在的问题。使用数据包过滤器具有成本低、安装便捷这些优点。因为数据包过滤器技术是在路由器进行的，并且路由器属于连接互联网的时候必备的设备，所以在使用这项技术的时候，不需要增添额外费用。1.2.3应用代理防火墙主要行动领域的应用是OSI的最高级别在应用层上方，其主要特征是能够完全隔离网络的通信流，并且应用层可以通过特定的代理进行监视和控制。有效性。防火墙类型必须根据特定的要求和条件来选择，以便有效地防止外部防火墙入侵等问题。保存有疑问的信息并将其返回计算机，从而便利管理者处理网络风险信息。在计算机和网关之间建立内部连接，并改善网络安全。1.2.4安全管理目前，信息技术正在迅速发展和普及，信息量正在增加，许多人可以通过互联网获得信息。因特网上的不安全因素更有可能影响人们的生活和工作。防火墙技术能够有效地监测网络信息和截获高风险信息，从而确保网络接入的安全。

2防火墙的安全性和可靠性分析2.1支持平台防火墙可以支持大量平台，并具有大量用户连接。针对不同平台，防火墙技术开发人员能做到针对每个平台制定不同的安装方式。在保护计算机网络安全方面，防火墙技术是其中非常重要的一部分。实际使用计算机网络时，有很多信息需要保护。安全配置可以有效地将其划分为多个区域，并专注于保护每个区域。2.2抗攻击性全面的网络监视和控制功能使防火墙具有很高的抗攻击性。为了禁止访问非法网站或入侵罪犯，防火墙不仅必须具有防止内部网络被非法访问的能力，而且还必须具有监视功能。从网络上删除，因为现在每天都会出现一些不良网站。只有通过监视，才能根据相关信息阻止这些非法站点。2.3防火墙自身的安全防火墙本身的安全性主要体现在其自身的设计和管理中。而防火墙安全性的设计，主要是在操作系统之内，同时也只有完全可信任的操作系统才能确保系统的安全。应用程序安全性则是基于操作系统的安全性，所以防火墙安全性的本身是可以直接辐射到整个系统的安全方面。2.4完整的安全检查在建立网络中，数据起着非常重要的作用，这对于计算机安全性至关重要。防火墙可以准确记录网络传输中对信息和数据的访问，并将收集到的数据分为几类，提取可能构成威胁的数据，并采取预防措施来促进问题的解决，以便防止计算机受到攻击。同时，防火墙还可以汇总收集的数据，汇总不同类型数据的特征，并将其用作更好地监视网络数据的基础。2.5防火墙的可扩展性所谓智能防火墙技术，是指对于正常的数据请求和非法的用户攻击，防火墙能够做出智能判断，从而有效避免频繁向用户发送预警，提高网络的运行效率。在传统的防火墙技术中，虽然网络安全性很高，但网络运行效率相对较低，而智能防火墙技术有效地解决了这一问题。智能防火墙技术具有防止黑客攻击、防止MAC欺骗和IP欺骗、防止入侵三大功能。2.6防火墙的可升级可升级性指计算机应用程序或产品（硬件或软件）的尺寸或容量为满足用户需要而发生变化但能继续工作的能力。无法预计的危险只会越来越多，而防火墙作为一款产品也能做到，为了满足用户需要而发生变化但能继续工作的能力。面对层层风险，防火墙可不断升级变化。它不仅在升级后的条件下正常工作，还具有实际的优势。如果防火墙程序从一个小的操作系统转向一个大操作系统，并在性能方面有所改善以及能处理更多数量用户，那么它是可升级的。

3企业网络安全现状及问题3.1企业常见的网络攻击3.1.1SQL注入注射SQL（“SQL”）是一种用于执行恶意SQL指令的注射攻击。这样，进攻者就可以完全控制Web应用程序后面的数据库服务器。进攻者可以通过SQL注入漏洞绕过应用程序的安全性。他们可以通过绕过Web页或认证和L检索SQL数据库的所有内容。授权Web应用程序；SQL注入也可用于添加、修改和删除记录的数据库。SQL注入故障可能影响使用SQL数据库的任何网站或应用程序，如mysql、Oracle、SQLserver或其他。罪犯可以在未经授权的情况下访问用户的敏感数据:客户信息、个人数据、商业秘密。针对SQL的ip等注入攻击是Web应用程序中最古老、最常见和最危险的缺陷之一。3.1.2网络钓鱼网络钓鱼是一种利用敏感手段获取敏感个人信息的攻击，如密码、信用卡信息等。网络钓鱼攻击的目的是诱使收件人访问与目标组织的网站非常相似的网络钓鱼网站，并获取在该网站上输入的敏感个人信息。一般来说，受害者在攻击过程中没有得到警告。这种个人信息对黑客来说是很有趣的，因为它使他们能够捏造金融诈骗来欺骗受害者以获得经济利益。受害者往往遭受巨大的经济损失或所有的个人信息被窃取和用于犯罪目的。3.1.3分布式拒绝服务分布式服务拒绝攻击通过大量的合法请求吸收了网络的大部分资源，从而使网络瘫痪，其目的是利用客户机/服务器技术将多个计算机组合成一个攻击平台，并对一个网络进行背部攻击。一般来说，袭击者使用被盗帐户在计算机上安装DDOS主程序。主机程序将与安装在许多网络计算机上的大量代理人进行通信。代理人已被命令发动攻击。使用客户端服务器技术，主机程序可以在几秒钟内激活数百或数千名代理人。3.1.4RootkitRootkit是一种特殊类型的恶意软件。它基本上是无法检测到的，而且几乎不可能删除它们。尽管检测工具在增加，但恶意软件开发人员一直在寻找新的方法来掩盖自己的足迹。它通过阻止用户识别和删除恶意软件来实现这一点。Rootkit可以隐藏几乎所有的软件，包括文件服务器、键盘记录器等。3.2企业网络安全防护现状3.2.1防护意识薄弱网络安全一直是关系着企业发展的重要因素，但由于保护意识淡薄，许多企业的网络安全保护任务均没有得到很好执行，不仅造成了严重的经济损失，而且对企业正常经营管理产生了很大影响。当前我国企业以中小微企业为重，这类企业安全防护意识薄弱是较为普遍的现象。企业在日常安全维护时仅依靠电脑自带的病毒检测程序，一般来说，电脑短期内不存在严重问题发生，但公司的保护体系容易受到黑客和不法分子攻击，不仅造成严重的损失和混乱。但这也对公司本身产生了严重影响。当黑客入侵公司网络时，一旦选择了目标，信息收集和判断的各个方面都将重复进行和测试。在获得足够的企业网络安全保护信息后，可以通过攻击固定点来实现。不仅成功率高，而且很难跟踪。企业保护意识淡薄，意味着对黑客每一次尝试都不清楚，乃至找不到黑客入侵线索，最终导致企业陷入被动发展。3.2.2防护团队不专业企业网络安全保护管理是日益发展的必然结果，尤其是企业安全防护非专业化管理问题，一直是企业面临的最大难题。网络安全的目的旨在防止数据丢失，希望企业网络应用能够正常发展。但是，由于很多团队没有足够防护经验，且为了节约成本，而不会招聘过于优秀人才，导致企业在网络安全防护方面缺乏实际工作经验。大多数人对大规模的黑客攻击和防御战没有完全了解。3.2.3防护技术不足网络安全关系到国家和企业的稳定发展。由于缺乏防护技术，企业网络安全防护是被动的，不能为日常工作提供更多安全保障。同时，内部问题的解决并不理想。企业网络安全保护中的外部入侵处理水平在日常工作中很低。大多数公司的业绩为零。网络漏洞一旦被利用，许多企业的时间响应相对较弱，无法快速存储数据，不能正确处理攻击问题，这将对提高企业网络安全性和正常应用产生重大影响。由于企业内部缺乏网络使用标准，许多员工在使用网络的过程中随意点击网页。有时无法通过正常渠道进行软件下载，遇到黑客的可能性也随之加大。因此企业必须逐步提出具体的消除和改进措施，否则，在今后的工作中，必将为企业带来严重的潜在隐患。4防火墙在企业网络安全防护中的应用策略4.1提高防护意识信息数据化时代的到来，意味着企业网络安全保护不能仅通过简单的技术来实现，许多技术本身是双重的。提高防火墙保护意识的关键是不断完善防火墙应用方案。防火墙技术种类繁多，不同的技术具有不同的保护效果，中小型企业的防火墙不同于大型企业的防火墙，关键数据和信息越多，防火墙的安全性就越强。因此，企业网络安全防护防火墙的运行技术必须根据自身的需要进行完善。盲目降低投资成本必然会加剧防火墙的漏洞，暴露出网络应用中的诸多问题，对企业的正常运营构成严重威胁。防火墙的技术方案设计需要不断优化，特别是随着企业的发展和业务项目的扩展，保护的范围也需要不断扩大。在这一阶段，防火墙技术的实施策略需要在各个层面上不断创新和完善。4.2包过滤防火墙在提高企业网络安全意识之后，还必须要选择正确的防火墙技术。其中包过滤防火墙的应用是当前较为普遍的选择，可以对osi七层模型中有效保护网络层数据的常用技术方案。在大多数情况下，这种类型的防火墙操作处于登录状态，策略逻辑包含大量信息，包括端口、地址、源地址等。如果数据包在扫描过程中显示出与预先设计的策略逻辑不一致的状态，则包可以正常通过。如果包中包含的信息与策略逻辑匹配，则直接拦截数据包。当数据包被传输时，通常会有无数的小数据包完成，每一个小数据包都覆盖目标地质、源地址等，因此在防火墙的实现中，它会根据不同的传输路径工作，但最终的目的地是相同的。因此，即使在到达目的地之后，我们仍然需要通过防火墙的检查和测试，最终确保数据包通过。4.3加强专业化团队建设防火墙的确是一种很好的企业网络安全保护技术手段，但在实际应用过程中必须依靠专业设备来完成，更专业、更全面才能对企业网络安全保护承担更大的责任。目前，网络企业不仅重视防火墙设备，而且还将努力建设防火墙团队。从防火墙队伍建设和新员工培训两方面对公司网络安全防护队伍建设进行严格的选拔和考核，防火墙是公司的重要屏障，应保持较高的团队能力和工作态度。因此，可以加强企业网络安全保护的整体内涵，防火墙团队必须定期对企业内部网络的应用进行测试和验证。据统计，40%以上的入侵问题都是由内部网络引起的。因此，防火墙设备的组织可以分为内部和外部两个层次，以提高企业网络安全保护的整体水平。4.4应用网关防火墙目前，企业网络安全保护非常重要，每一项技术的应用都必须符合专业的、具体的标准，否则就不能取得有效的创新成果。应用网关防火墙对企业网络安全防护来说，也是当前较为不错的选择。这种防火墙又称代理防火墙，主要在OSI模型的网络层、应用层和传输层进行保护，具有较好的保护效果。应用网关防火前需要身份验证，并允许在身份验证之后访问网络资源才能进行数据传输。其身份验证包括密码、密码、用户名等，因此黑客没有更多时间去攻击DOS。应用网关防火墙还分为连接网关防火墙和连接网关防火墙，后者具有更多的认证机制，可以拦截数据流量进行认证，认证成功后连接到防火墙网关，允许服务访问。防火墙连接网关还可以保护应用层，提高应用层的安全性。

5基于防火墙的企业网络安全设计5.1防火墙的功能配置5.1.1网络基本功能配置安全域配置、接口配置、VLAN配置、路由配置、DNS配置、NAT配置等均属于网络安全基本设置。现在来分别简单介绍一下这几项配置的大致含义，安全城配置是用于访问控制的设置，接口设置是用于连接各个网络地址的设置，NAT设置是对内部和外部同时防护的一一种，既防护外部免受外界攻击，也防止内部IP被流输到外部网络中。(1)安全城配置目前的网络世界已经变化的多种多样，不单单是不变的信任域和不信任域还有DMZ域，还包括用户自己设置的，还通过这些对其他域的各个方面进行控制与检测，用以审查其流量或者其他。DMZzoneLAYER2/LAYER3VPNIPSECtunnelTUNNELVPNPPTPDialupuserPPTP其中每-一个安全域都可以和多个物理接口和VLAN子接口相搭配，其搭配数量的上限是这两种接口的总和。(2)VLAN配置该VLAN配置的工作原理是当防火墙接收信号时显示为tag包，它就会自动去寻找相匹配的其他接口即vlan接口。vlan接口的数量不是单一一的，假设此时存在有两个接口，我们将它设定为vlan0和vlanl,相对应的tag包分别是tagl0和tag20。两种接口接收包是随机分配的，当本次由vlan0进行接收，它接收到后显示的是tagl0，接着会将信息转换然后经由普通路由进行查找传送，最后到达需要接收的路由方。而当接收端为vlanl时，相对应应该寻找的是tag20的接口，然后他会改变其原有的头衔相对应转换为tag20,再发送到需要接收的地点，完成整个一次发送传递接收过程，具体方式如下图简示:图5-1防火墙VLAN设置此配置的命令如下:#ifconfigvlanif0to100//在if0.上配置一个新的VLANO，其tag值为100。(3)路由配置#routeadddefault192.168.2.30//设置缺省路由#routeadd/24.//添加路由#routexadd2/32192.l68.20.88/32图形配置如下图所示:图5-2接口VLAN设置图形界面（4）DNS配置#dnsadd202.98.96.68//增加一条DNS#checkdnslist//查看DNS[1]8[2]9(5)NAT配置NAT配置的工作原理是通过某一种独立的IP地址对其他的IP进行补写和填充，用来阻截来自外界的不安全信息和恶意攻击病毒侵入等，也保护了内部的IP被流串到外面而泄露信息。5.1.2反入侵技术反入侵技术现在深受用户喜爱，它可以安放在防火墙上进行入侵拦截，及时对肆意进入的动作信息进行查找并进行响应解决，反入侵主要采用的是IDS技术并可细分为三大类:主机IDS、网络IDS、网络节点IDS。其中主机IDS安装在需要受到保护的每--台机器上，用来对其主机内部每时每刻进行筛查和监管。网络IDS适用于审查网络中走过的各类数据包进行时时监察。网络节点IDS是用于监察有机密地段的网络数据，比如加密地段。基本命令如下:#policyaddpingzhqhost60passf#policyenable2//启用策略2#policyretureset2//发回一个reset包#policyduptoids2//策略的通信流镜像到IDS口#policyanti-synflood1//启用策略的阻止synflood攻击功能#policysmartpro1/启用策略的流探测功能由于某些时候系统会有改动导致原本正确的策略转变为失效策略，此时该状态策略显示为invalid。5.1.3人工黑名单这种防入侵的手段类似于人工进行程序设置对入侵进来的干扰进行拦截,针对不同骚扰的构造不同，所以在对其进行拦截时应进行以下操作:#blackholeadd201.68.20.35/32add-for-test//阻止IP地址为201.68.20.35的主机，此IP地址为模拟设置，并不完全表示真实的状态#blackholelist现实所有被阻止IP[I]51/32(blackholel)[2]192.168.20.152/32(bh2)#freezeadd2553tcp360//添加一条IDS阻止5.1.4防火墙流量监管防火墙处于小型网络中时可以对各个流量进行时时监控和控制，当面对大型的网络系统时便少了这项功能，二是更针对于自身的安全，防止由于流量过大而对其自身产生威胁。#bmifconfigif0outgoingbandwidth60M//配置if0的带宽值为60M#bmbwobjliast//监测带宽[01]b（）bandwidth:12.000M(20.000%of60.000Mbpsonif0),priority:2,guarantee#bmstatif0bDemarcatedrate:11.41MbpsMeasuredrate:ObpsSentpackets:0sentbytes:0#bmpolicyaddyy0anyextemal012ac//增加带宽策略5.1.5防火墙日志设置本次设计讨论的防火墙带有对日志支持的功能，日志是对一个系统来说非常重要的一项，通过对某些行为动作进行配置从而选择出将其配置成何种日志。#logpolicyaddT1m//新增日志策略，本例为新增telnet代理日志策略.#logpolicylist//显示所有的日志邪恶略Countsetting:Sendcountpitstime:07:00#mailalarmserver252DCFW-1800Password:***Retype:***Lookingupealarmmailserver..OK#logdump1**5.2安全策略方法本次设计主要着手于将每个子网络进行之间进行隔离，但又不影响其相互之间工作的展开，而是为了一旦某一部分网络发生异常，企业管理人员可以立即查找出并将其隔离开来，避免不安全一旦东西进入到其他部分中，从而将危险降低到了最小范围。以下是对此次设计总结出的安全策略。5.2.1网络安全策略实现表5-1安全策略总结表5.2.2进阶功能配置公司现已有基本网路配置，暂时可以满足业务需求，随着公司发展扩大，其网络需求也随之增加，故对于网络的配置要求也随之增加。表5-2进阶功能网络配置

6系统测试与分析6.1测试系统概述与分析本设计利用DCFW-1800S多核防火墙与DCRS-5526S企业级三层交换机，构建校园网络设计主要平台，并进行按照策略进行配置，并根据配置系统，进行模拟测试和比对分析。在分析过程中，为了验证策略的效果，本设计在比对测试中，将横向进行另一种配置：除满足基本网络通宵，IP地址分配之外，不加任何策略，包括VLAN划分、抗DOS策略等等，以验证测试效果。系统模拟设计拓扑图：图6-1系统测试拓扑图在拓扑图中，DCR-5526S三层交换机充分模拟核心交换机，并按照之前的安全策略，进行配置。DCFW-1800S防火墙则按照之前规划策略进行配置。两个二层交换机分别代表拓扑设计中的两个VLAN。当然，在实际校园接入中，接入点、VLAN数目远远不止这些，本设计在模拟拓扑的核心：防火墙和和核心交换机之后，模拟其中两个子网，即两个VLAN进行设计实验分析：本设计IP地址情况如下：表6-1IP地址表对象IP地址备注出口00100MSERVER0VLAN100限速10k/sVlan200限速200k/s，禁止pingDCRS-5526S0/24划分2个VLANPC13在VLAN100中PC29在VLAN100中PC35在VLAN200中6.2防火墙与交换机的配置防火墙配置流程与交换机配置流程的基本策略集中于两种情况：除了清晰和同意，没有服务是可访问的；除明确拒绝外，任何服务均可访问等。除了这些建立DMZ区域在一定程度上也可以加强网络安全管理。再加上本次设计主要采用包过滤技术，所以根据上述两项基本设施方针，制定的防火墙配置流程与交换机配置流程的基本策略策略其主要作用:（1）管理防火墙外的网络访问（2）控制设备本身的访问，具体配置流程图如下：图6-2防火墙配置流程图图6-3交换机配置流程图6.3测试分析1）经过网络策略的配置，能够有效隔绝大规模、尤其是全校性的网络攻击；2）由于防火墙的位置，网络攻击的威胁性而言，源来自内部攻击大于外部攻击。攻击策略对比如下表：表6-2网络总结安全分析表外部源内部源防御设备效果防御设备效果DOS防火墙、核心交换机、楼层交换机、个人PC三重防御，效果佳楼层交换机，个人PC局域网内部无法防御VLAN之间可通过楼层交换机扫描漏洞防火墙、核心交换机、个人PC效果佳个人PC差，取决于个人PC蠕虫、木马防火墙，核心交换机能够隔离黑名单、阻止外界非法访问，效果一般个人PC差，取决于个人PCARP攻击防火墙，核心交换机，楼层交换机，个人PC外部很难攻击楼层交换机，个人PC局域网内部无法防御，VLAN之间可通过楼层交换机3）网络性能总结：通过网络性能测试对比，我们可以总结出，网络安全策略配置并没有使得数据包信息丢失，而对于响应时间来讲，由于会对数据包进行策略分析与检测，其响应时间会以毫秒为单位有增加。网络性能主要有以下的四点要求：一是保护策略。保护策略的主要功能是对相关计算机网络的用户给予一定的权限和控制。它主要通过一系列相关的用户信息验证和验证程序，实现对网络数据信息安全有效管理和有效管理，将信息泄漏和被盗的风险降到最低。其次，检测策略。这个策略的使用基本上是用来密切监视和监视计算机网络中的系统漏洞。一旦通过这种方法发现了安全威胁的手段和信息，就可以采取相关措施予以防范。这个策略的意义在于保护系统。计算机网络免受突发病毒程序的恶意攻击，始终保持较好的计算机网络运行情况，为用户提供最安全可靠的信息提供和服务。第三，快速响应策略。该策略的实施主要是为了保证计算机系统在发生问题时能够立即触发重启操作和限制性访问功能，从而实现并保持整个计算机网络的健康运行状态和信息安全快速响应。四是复苏战略。这是关键战略中存在的最保险和最终的战略，该策略的启动可以有效防范和保护计算机信息免受恶意攻击。该策略还可以有效应用和服务于整个计算机系统相关补丁的安装和升级，保证网络安全问题。结论网络病毒有多种形式，在某种程度上难以消除。因此，人们必须加强对计算机病毒的预防和控制措施，不仅需要增强计算机安全知识，还需要应用相应的防控手段。使用所有科学合理的方法，增强对计算机的使用和保护，并增强其网络安全性。本文从防火墙技术入手，介绍了防火墙技术的优势，应用及企业防火墙应用现状，并以此设计出防火墙企业安全技术，希望以此来对企业网络安全发展提供一定的参考价值。简要的工作总结如下：首先本文先是对防火墙技术应用优势，现状等相关概念进行系统分析，随后对防火墙在企业安全的应用现状展开相关研究，然后得出了基于企业应用策略的防火墙应用策略，结论认为企业在应用防火墙技术时，理应加强个人意识，提高企业网络安全团队等。文章随后对防火墙技术展开研究，针对企业现阶段存有的网络问题进行细致的分析。最后，着眼于网络安全策略，了解分析不同的网络策略，并对企业防火墙系统的安全改进提出了初步的设计建议。从理论上讲，防火墙是系统管理员能够采取的最严格的安全措施。但是防火墙也有一些缺陷和不足：限制有用的网络服务；无法防护内部网络用户攻击；防火墙无法防范通过防火墙以外的其他途径的攻击；不能完全阻止传送已感染病毒的软件和文件；无法防范数据驱动型的攻击等。另一方面，一旦防火墙被攻破，内部网络的安全性将轻易被破坏。因此要保证高校计算机网络的相对安全不应该只使用单一的安全措施。未来，对防火墙应该朝多级化多功能的复合型的方向发展，特别是深度检测技术的兴起，对应用层的内容过滤有了更深层次的发展，可以看出深度检测技术是防火墙技术发展的又一方向，也是进一步学习和探讨的主要方向。参考文献[1]李浩.防火墙技术在计算机网络安全中的应用策略——评《网络攻防技术与实战——深入理解信息安全防护体系》[J].安全与环境学报,2021,21(03):1381-1382.[2]潘山.计算机网络安全中的防火墙技术应用研究[J].产业科技创新,2019,1(16):73-74.[3]杨年中.防火墙在企业网络中的应用[J].信息与电脑(理论版),2018(13):212-214.[4]刘秋玲.论网络安全及防火墙技术在网络安全中的应用[J].产业与科技论坛,2017,16(09):43-44.[5]王和鑫.浅析防火墙在计算机网络安全中的应用[J].黑龙江工业学院学报(综合版),2021,21(12):66-70.[6]王晓玲.防火墙技术在计算机网络安全中的运用探讨[J].信息记录材料,2021,22(11):123-124.[7]龚雨雄.网络信息安全与防火墙技术研究[J].电子测试,2021(16):127-128.[8]唐晓东,束